The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

07.12.2016 09:22  В рекламных сетях выявлено вредоносное ПО, скрытое в графических баннерах

Исследователи из компаний ESET и Malwarebytes выявили вредоносное ПО, с сентября незаметно атаковавшее системы пользователей, распространяясь через рекламные блоки на популярных сайтах. Особенностью вредоносного ПО, получившего название Stegano, стало то, что используемый для атаки код был интегрирован в PNG-изображения при помощи методов стеганографии.

Вредоносная реклама, на которой предлагались продукты "Browser Defence" и "Broxu", была зафиксирована на многих крупных сайтах, в том числе Yahoo Mail, MSN и нескольких новостных изданиях с аудиторией более миллиона пользователей в день. Из рекламных сетей, в которых был замечен вредоносный баннер, отмечаются SmartyAds и Yahoo Ad Network. Вредоносные баннеры в основном показывались пользователям из Канады, Великобритании, Австралии, Испании и Италии.

При помощи специальной формулы вредоносный JavaScript-код был преобразован в набор пикселей, который накладывался на имеющееся в PNG-файле изображение с корректировкой для наложенных пикселей уровня прозрачности, делающей изменения незаметными, но позволяющей при желании восстановить добавленный набор данных. В рекламные сети добавлялась PNG-картинка с сопутствующим JavaScript-кодом для формирования баннера (многие рекламные сети перешли на HTML5-баннеры и допускают выполнение JavaScript-кода, качество проверки которого оставляет желать лучшего). На первый взгляд код выглядел безобидно, но на деле в процессе обработки баннера восстанавливал спрятанный в него вредоносный JavaScript-блок и передавал ему управление.

Примеры картинок с вредоносными вставками:

После активации вредоносный код инициировал отправку браузером пользователя запроса на специально подготовленный проверочный сервер, контролируемый злоумышленниками, который на основании имеющихся данных принимал решение о целесообразности продолжения атаки. При поступлении запроса от Internet Explorer выполнялась специальная проверка, использующая уязвимость в браузере (CVE-2016-0162) для подтверждения, что запрос поступил из системы реального пользователя, а не симулирован анализаторами трафика.

Также осуществлялась попытка определения установки на системе пользователя антивирусного ПО, запуска браузера в контейнерах или системах виртуализации, применения анализаторов сетевых пакетов, в случае выявления которых соединение обрывалось. Если запрос не вызывал подозрений и были выявлены признаки наличия уязвимого ПО, пользователь перенаправлялся на финальный этап атаки, в ходе которого загружался набор эксплоитов, пытающихся получить управление над системой при помощи эксплуатации распространённых уязвимостей в Adobe Flash. После успешной атаки в систему пользователя внедрялся вредоносный код, способный перехватывать пароли, журналировать нажатие клавиш, создавать скриншоты, скрыто записывать видео через web-камеру и предоставлять скрытый доступ к системе.



  1. Главная ссылка к новости (http://www.welivesecurity.com/...)
  2. OpenNews: В реализации WebGL из состава Firefox 4 найдена уязвимость
  3. OpenNews: В Firefox 5 будет отключена поддержка междоменных текстур WebGL
  4. OpenNews: Потенциальная уязвимость в технологии CSS Shaders
  5. OpenNews: Стеганографический веб-сервис DarkJPEG
  6. Предупреждение о появлении вредоносного кода в Google AdSensе
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mallware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Аноним, 09:39, 07/12/2016 [ответить] [смотреть все]
  • +51 +/
    Ну вот, теперь AdBlock перестанут пытаться прикрыть. Теперь это не блокировщик рекламы, а антивирус!
     
     
  • 2.46, prokoudine, 16:57, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    Там уже фракталы https twitter com etargetru status 715545033634611200... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, botman, 09:43, 07/12/2016 [ответить] [смотреть все]  
  • +4 +/
    Стенография и стеганография - разные вещи. На картинке написано про стеганографию.
     
     
  • 2.26, Гостище, 11:47, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А кто спорит-то Там обычная стеганография, знакомая людям уже несколько тысячел... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Аноним, 09:43, 07/12/2016 [ответить] [смотреть все]  
  • +4 +/
    Internet Expolrer - всё понятно
     
     
  • 2.52, soarin, 19:16, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    К сведению: Описанная уязвимость в нём залатана в апреле 2016 года.
     
     
  • 3.84, Аноним, 16:56, 08/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Еще скажи главное когда в Adobe Trash все дыры залатают.
     
  • 2.75, Аноним, 12:40, 08/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > через уязвимость в Flash

    А это непонятно? ;)

     
  • 1.6, Аноним, 09:44, 07/12/2016 [ответить] [смотреть все]  
  • +13 +/
    И еще нам расскаывают как бедные рекламодатели не могут выжить и заработать себе на кусок хлеба, так как пользователи не хотят смотреть рекламу.
     
     
  • 2.13, J.L., 10:19, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    вот они и вынуждены зарабатывать себе на кусочек масла с помощью продажи ботсете... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, Семилетов, 09:46, 07/12/2016 [ответить] [смотреть все]  
  • –3 +/
    Установлены adblock и noscript, есть антивирус и нет a-flash, браузер запускаетс... весь текст скрыт [показать]
     
     
  • 2.8, Аноним, 09:55, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +13 +/
    нанороботов
     
  • 2.11, Аноним, 10:03, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +16 +/
    да, паранойи =)
     
  • 2.14, J.L., 10:23, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    тор и распоследний фокс в его основе недавно ломали в виртуалках тоже дырки за... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, Гостище, 11:50, 07/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Ага. Лично я, из тара распаковываю профиль в tmpfs
     
  • 2.15, Аноним, 10:23, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Поставьте лучше uBlock Origin, uMatrix Stylish еще когда-то помогал с ненужными... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, PnDx, 11:12, 07/12/2016 [^] [ответить] [смотреть все]  
  • +/
    uBlock Origin 1 10 списки для РФ вынос социалок последний firefox вытека... весь текст скрыт [показать]
     
     
  • 4.29, Гостище, 11:56, 07/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    firefox-esr --profile tmp username firefox --new-instance Запущено с 9 ноября,... весь текст скрыт [показать]
     
  • 4.85, Аноним, 16:58, 08/12/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Палишься, рекламщик Потому что я недавно видел лиса с uBlock uMatrix запущенн... весь текст скрыт [показать]
     
     
  • 5.96, J.L., 12:59, 09/12/2016 [^] [ответить] [смотреть все]  
  • +/
    у меня тоже долго запущено и не течёт, но буквально месяц назад что-то произошл... весь текст скрыт [показать]
     
  • 2.16, Аноним, 10:25, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Этот ваш адблок не режет рекламу, а скрывает, то есть от эксплуатации уязвимосте... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, лютый жабист___, 10:34, 07/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Если скрывает, то как ОНИ определяют, что он есть ... весь текст скрыт [показать]
     
     
  • 4.97, Lain_13, 17:38, 09/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Срабатывание на популярные фильтры скрытия это второй по популярности способ опр... весь текст скрыт [показать]
     
  • 3.21, Аноним, 10:34, 07/12/2016 [^] [ответить] [смотреть все]  
  • +6 +/
    > Этот ваш адблок не режет рекламу, а скрывает

    Ложь. Смотрите Network Log в лисе, снифайте трафик.

     
     
  • 4.37, Аноним, 13:31, 07/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    uBlock Origin режет не все, некоторую рекламу он просто скрывает.
     
     
  • 5.48, Аноним, 17:26, 07/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Как и остальные блокеры, в общем-то Есть 2 типа фильтров - сетевые и косметичес... весь текст скрыт [показать]
     
  • 5.72, DmA, 10:16, 08/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Лучше в uMatrix заблокировать весь трафик с любых сторонних сайтов и не беспоко... весь текст скрыт [показать]
     
  • 5.86, Аноним, 17:00, 08/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Некоторая реклама интегрирована в контент Например, если я напишу к коменте ... весь текст скрыт [показать]
     
  • 3.53, Аноним, 21:48, 07/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    пользователь Хрома проецирует его проблемы на другие браузеры?
     
  • 3.95, J.L., 12:55, 09/12/2016 [^] [ответить] [смотреть все]  
  • +/
    имхо вы путаете фоксовские эдьоки и хромовские - у хрома вроде бы нельзя было не... весь текст скрыт [показать]
     
  • 2.19, лютый жабист___, 10:33, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Для начала винду убрать ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.62, Аноним, 22:35, 07/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Да, винда вызывает гемофтальм у некоторых И другие нарушения ... весь текст скрыт [показать]
     
     
  • 4.77, Аноним, 12:44, 08/12/2016 [^] [ответить] [смотреть все]  
  • +/
    После долгого использования ОС Windows у пациентов наблюдался амавроз и геморрой... весь текст скрыт [показать]
     
  • 2.30, КО, 12:10, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если в этом браузере вы введете данные своей кредитки, то все ранее перечисленно... весь текст скрыт [показать] [показать ветку]
     
  • 2.76, Аноним, 12:41, 08/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Выходи на новый уровень В интернет только с чужих машин, из другого города ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.88, Аноним, 17:03, 08/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Это реклама услуг ботнетов Безобразие, куда адблокеры смотрят ... весь текст скрыт [показать]
     
     
  • 4.98, Аноним, 19:20, 09/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Это GNU/реклама GNU/дядюшки Столлмана.
     
  • 2.100, forsaken, 19:29, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Бойся антивируса, который у тебя установлен Антивирус - потенциальная дыра в бе... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, Аноним, 10:13, 07/12/2016 [ответить] [смотреть все]  
  • +2 +/
    Ну т е когда мне говорят, что AdBlock - это воровство денег, это нормально, а ч... весь текст скрыт [показать]
     
     
  • 2.17, Аноним, 10:26, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Забавно, автоюристы обворовывают страховщиков, адблокеры - рекламодателей, когда... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, Аноним, 22:36, 07/12/2016 [^] [ответить] [смотреть все]  
  • +/
    А за непокупку ведрофонов как будут карать?


     
     
  • 4.73, Харитон, 11:11, 08/12/2016 [^] [ответить] [смотреть все]  
  • +/
    двойной покупкой мастдайфонов
     
     
  • 5.78, Аноним, 12:45, 08/12/2016 [^] [ответить] [смотреть все]  
  • +/
    А если я уже купил обычную звонилку, за мной уже выехали ... весь текст скрыт [показать]
     
  • 2.54, Аноним, 21:50, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вам никогда не доводилось слышать о готтентотской этике?
     
  • 1.22, Аноним, 10:42, 07/12/2016 [ответить] [смотреть все]  
  • +/
    Похоже вири уже значительно расширили целевые системы http www opennet ru op... весь текст скрыт [показать]
     
  • 1.23, DmA, 10:54, 07/12/2016 [ответить] [смотреть все]  
  • –1 +/
    По российскому законодательству можно на них в суд подать за распространение зловредных программ, до 7 лет тюрьмы могут впаять!
    Заодно рекламным компаниям считай каюк будет на территории России. Следом рухнут поисковые системы, так как их содержат как раз рекламные компании типа Яндекс, Гугл итд
    Интересно как будет выглядеть Интернет без поисковых систем? Снова будут каталоги сайтов делать как на заре Интернета?(типа Yahoo)?
     
     
  • 2.24, Аноним, 11:02, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Никак За прошедшие годы интернет так разросся, что без индексации он разом прев... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, Аноним, 14:40, 07/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    клоун Интернет делят на белый, чёрный и серый в зависимости от возможности поис... весь текст скрыт [показать]
     
     
  • 4.79, Аноним, 12:48, 08/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    50 оттенков серого Скорее уж в чёрную В серой тоже следят же ... весь текст скрыт [показать]
     
     
  • 5.101, Урри, 15:25, 14/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Бу-га-га Верьте в честность поисковиков ... весь текст скрыт [показать]
     
  • 2.31, Аноним, 12:24, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    на Microsoft за Windows 10 тоже можно подать, толку то ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.64, Аноним, 22:39, 07/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Какие у вас к ним судебные претензии ... весь текст скрыт [показать]
     
     
  • 4.74, Харитон, 11:14, 08/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Агрегация персональных данных Нет Но подать в суд тяжело - так как подразумев... весь текст скрыт [показать]
     
  • 2.43, Аноним, 14:53, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Будут продолжать продавать текстовые банеры и позицию в поиске.
     
  • 2.55, Аноним, 21:52, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    подать в суд-то можно, только вот на юристах разоришься, эти компании зарегистри... весь текст скрыт [показать] [показать ветку]
     
  • 2.71, анон, 06:03, 08/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы имеете ввиду намеренное распространение зловредных программ Тогда вам всего ... весь текст скрыт [показать] [показать ветку]
     
  • 1.28, Аноним, 11:51, 07/12/2016 [ответить] [смотреть все]  
  • +2 +/
    И эти маркетолухи еще огрызаются, не хотите жрать нашу рехламу, уууууу....
     
     
  • 2.36, Аноним1921, 13:31, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    В Южном Парке 19 сезон, трилогия про рекламу Там хорошо сказано на этот счет ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Нимус, 18:23, 07/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Уроки все уже выучил, домашку сделал?
     
     
  • 4.59, Аноним, 22:01, 07/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Южный Парк - 16+
     
  • 4.80, Аноним, 12:49, 08/12/2016 [^] [ответить] [смотреть все]  
  • +/
    > Уроки все уже выучил, домашку сделал?

    А почему ви таки спрашиваете?

     
     
  • 5.89, HIMEM.SYS, 19:51, 08/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Видать хочет списать XD
     
  • 2.56, Аноним, 21:54, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    они правильно огрызаются, так как монетизировать иначе их деятельность не получа... весь текст скрыт [показать] [показать ветку]
     
  • 1.32, Аноним, 12:39, 07/12/2016 [ответить] [смотреть все]  
  • +3 +/
    Никогда такого не было и вот опять...
     
  • 1.33, trdm, 12:42, 07/12/2016 [ответить] [смотреть все]  
  • +2 +/
    > и скрыто записывать видео через web-камеру.

    Давно на свою камеру носок повесил. Жаль что она запахи не транслирует...

     
     
  • 2.65, Аноним, 22:43, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вот это действительно в духе Столлмана Только всем шпионам, которые пытаются за... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.91, Аноним, 04:30, 09/12/2016 [^] [ответить] [смотреть все]  
  • +/
    А чтобы был профит - можно подсунуть гамнюкам фэйковую камеру Пусть смотрят, гл... весь текст скрыт [показать]
     
  • 1.34, Fantomas, 13:07, 07/12/2016 [ответить] [смотреть все]  
  • –1 +/
    А как можно определить применения анализаторов сетевых пакетов?
     
     
  • 2.38, Аноним, 13:49, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Можно по-разному Как и применение ножей Но судью будет интересовать не определ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, Fantomas, 13:57, 07/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Захотелось вцепиться зубами и пососать еще теплой крови.
    ))))))))))))))))
     
     
  • 4.81, Аноним, 12:50, 08/12/2016 [^] [ответить] [смотреть все]  
  • +/
    С учётом твоего ника, ничего странного в этом нет ... весь текст скрыт [показать]
     
  • 1.39, Fantomas, 13:56, 07/12/2016 [ответить] [смотреть все]  
  • +/
    Немного не так спросил.
    Как управляющий сервер определит, что я запустил анализаторов сетевых пакетов?
    Например неразборчивый режим сетевухи, но если виндяка на виртуалке, а анализатор на хост машине?
     
     
  • 2.66, Ordu, 00:02, 08/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если виндяка на виртуалке, а анализатор на хост машине, то, видимо, должна отраб... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.92, Аноним, 04:36, 09/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Правильно Негодяи теперь стали использовать ARP-пойзонинг и перехватывают не ве... весь текст скрыт [показать]
     
  • 1.44, Аноним, 15:22, 07/12/2016 [ответить] [смотреть все]  
  • +1 +/
    если у сайта есть возможность распространять ПО - это ошибка или в браузере, или... весь текст скрыт [показать]
     
     
  • 2.57, Аноним, 21:56, 07/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    defective by design
     
  • 2.93, Аноним, 04:39, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У браузеров возможность выполнять JS есть с незапамятных времен Но он выполняет... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.99, Аноним, 19:22, 09/12/2016 [^] [ответить] [смотреть все]  
  • +/
    С учётом появления довольно сомнительных стандартов в HTML5 и S CSS, скоро и JS... весь текст скрыт [показать]
     
  • 1.58, Аноним, 21:59, 07/12/2016 [ответить] [смотреть все]  
  • +/
    Блин, мы в будущем Когда уже научатся вставлять нам невидимый рекламный код пря... весь текст скрыт [показать]
     
  • 1.69, Аноним, 00:42, 08/12/2016 [ответить] [смотреть все]  
  • +/
    Говорили что без Adobe Flash будет лучше, а оказывается HTML5 ещё большая дырень... весь текст скрыт [показать]
     
     
  • 2.70, Ordu, 03:04, 08/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Пока ещё нет Эта схема использует уязвимый flash-player для распространения зло... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.90, Аноним, 23:24, 08/12/2016 [^] [ответить] [смотреть все]  
  • +/
    слово зловред в отношении неодушевленных предметов, а тем более явлений крайне н... весь текст скрыт [показать]
     
     
  • 4.94, Аноним, 04:41, 09/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Это как сказать Когда тебе какой-нибудь duq пропатчит фирмварь винча без очевид... весь текст скрыт [показать]
     
  • 1.83, Алекс, 16:41, 08/12/2016 [ответить] [смотреть все]  
  • +/
    Такого рода картинки я часто встречал на торрент-трекерах, где можно фильмы разные скачать. Правда никогда на них не жал. Особенно картинки где приведен пример 2.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList